Összefoglaló
Az OpenAFS több sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók feltörhetik a sérülékeny rendszert, illetve a támadók szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.
Leírás
- Az ACL bejegyzések kezelésében lévő hibákat kihasználva puffer túlcsordulást lehet előidézni egy speciálisan összeállított ACL bejegyzéssel. A sérülékenység sikeres kihasználása tetszőleges kód végrehajtását teszi lehetővé, de ehhez ACL bejegyzés létrehozásához való jogosultság szükséges.
- A ptserver-hez kapcsolódó IdToName RPC kezelésében lévő egész szám túlcsordulási hibát kihasználva puffer túlcsordulást és a ptserver összeomlását lehet előidézni egy speciálisan megszerkesztett IdToName RPC segítségével, ami túlságosan nagy méretű payload-ot tartalmaz.
A sérülékenységeket az 1.6.2 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.openafs.org
Gyártói referencia: www.openafs.org
CVE-2013-1794 - NVD CVE-2013-1794
CVE-2013-1795 - NVD CVE-2013-1795
SECUNIA 52480